２ちゃんねる、有料ユーザーの3万件を超えるクレジットカード情報が流出

　２ちゃんねるで、有料の「２ちゃんねるビューア」を利用しているユーザーのクレジットカード情報がネット上に流出していることがわかった。約3万2500件の情報がネット上で公開されている。流出の原因や経緯の詳細は26日12時現在、明らかにされていない。「２ちゃんねるビューア」公式サイトでの「２ちゃんねるビューア」の購入決済処理はビットキャッシュ利用、クレジットカード利用ともに現在停止されている。

　「２ちゃんねるビューア」は、２ちゃんねるの過去ログ閲覧、書き込み規制中のリモートホストからの書き込み、プロキシ経由の書き込みが可能になるなどの特典が受けられる有料サービスで、N.T. Technology社が利用料決済を行っている。N.T. Technology社の運営する「２ちゃんねるビューア」公式サイトでは26日午前9時頃にクレジットカード情報流出のお詫びがいったん掲載されたが、その後削除されており、現在は２ちゃんねるも含め公式なアナウンスや経緯説明は掲載されていない。

　流出が確認されているクレジットカード情報は、2011年8月1日から2013年8月11日までにクレジットカードで「２ちゃんねるビューア」の決済を行った約3万2500件。流出しているテキストファイルには、メールアドレス、２ちゃんねるビューアのパスワード、クレジットカードの名義、クレジットカード種別、クレジットカード番号、有効期限（年／月）、住所、電話番号、IPアドレスが保存されている。

　クレジットカードのセキュリティコードも漏れているという情報もあり、流出しているテキストファイルでは、2012年11月4日以後の決済分では3桁の数字が含まれていることから、この3桁の数字がセキュリティコードである可能性がある。また、2012年11月8日以後の決済分では独自のハッシュと思われる19桁の数字も付与されていることから、2012年11月に決済システムの変更があったものと見られている。

　「２ちゃんねるビューア」はクレジットカード以外にもビットキャッシュを利用しての金融機関やコンビニ決済による支払いが可能だが、ビットキャッシュを利用しての決済については、情報漏えいは確認されていないようだ。

　２ちゃんねるでキャップと呼ばれる特定の板でスレッドを立てられる記者ハンドル名とパスワードや、匿名掲示板である２ちゃんねるで個人の識別のために使われる「トリップ」のパスワードなども漏洩していることがわかっている。

　そのほか、7月中旬から8月中旬にかけての２ちゃんねるビューアにログインしての書き込みも流出しているという情報も流れている。編集部では、いわゆる「スレ立て人」、レス番号では「1」となる書き込みの流出は一部確認できたが、その他のレスの流出は確認できていない。ただし、書き込みのテキストはクレジットカード情報とは別ファイルとなっているため、上記登録時に付与されたハッシュの照合などを行わない限り、書き込みの本人特定はできないものと思われる。

　流出したテキストファイルは、8月21日20時頃にTorのサーバー上にアップロードされたのが最初の流出と推定されており、当該ファイルは26日現在も晒されたままだが、アクセス過多のためか現在はサーバーが403エラーを返す状態でTorの専用ブラウザーからもほぼ閲覧できないようだ。

　２ちゃんねるで流出が広く知れ渡ったのは、25日23時頃に２ちゃんねるの運用情報板で、キャップのパスが漏れたとアナウンスされたことがきっかけとなった。26日現在では、２ちゃんねる以外の掲示板にもクレジットカード情報などが上がっているのが確認できたほか、アップローダー上にもファイル本体やtorrentのハッシュが上がるなど、情報が拡散されている。

　２ちゃんねるの書き込みなどから、すでにクレジットカード会社に連絡してクレジットカードの再発行依頼を済ませたユーザーも多いと見られる。現在編集部で流出が確認できているのは前述の通り、2011年8月1日から2013年8月11日までの決済情報のみだが、これが抜き取られた情報のすべてとは限らない。「２ちゃんねるビューア」をクレジットカードで決済したことがあるユーザーはカードの再発行を依頼した方が安全だろう。

　また、２ちゃんねるビューアに登録したメールアドレスとパスワードを他のサイトでも利用している場合、アカウントへの不正アクセス・不正利用などの二次被害も考えられる。現在は流出の範囲について確定情報がないため、２ちゃんねるビューア登録に限らず、Beアカウントなど、２ちゃんねる関連で登録したパスワードを他サイトでも利用している場合は、念のためパスワードを変更しておいた方がいいだろう。

　なお、２ちゃんねるの運用担当ボランティアスタッフがクレジットカード情報の流出の有無をチェックするサイト（http://j416.dip.jp/2ch/）を立ち上げており、登録メールアドレスとカードの有効期限を入力（有効期限が不明な場合は電話番号下4桁）することで流出の有無が確認できる。ただし、確認サイトの安全性は編集部では保証できないので、自己責任で利用してほしい。